Wer A sagt, muss auch B sagen: B2B-Enterprise Apps mit externem Nutzerkreis und B2C-Enterprise Apps bedürfen einer gesonderten Betrachtung. Eine Sicherung durch Containerisierung ist nicht möglich, da sich die Geräte außerhalb des Rechtskreises des Unternehmens bzw. der Organisation befinden und daher nicht durch sie kontrolliert und gemanagt werden können. Damit kommt der Einsatz von UEM Systemen und damit der Einsatz der Containerisierung im Prinzip nicht in Frage.
In-App Security
Das Ergebnis ist, dass diese Apps selbst „wehrhaft“ oder „verteidigungsfähig“ gemacht werden müssen. Dazu kommt Drittanbieter-Software zum Tragen. Wenn In-App Security als Lösung erwogen wird, kommen darauf spezialisierte Drittprodukte zum Einsatz. Inzwischen hat sich eine große Zahl von Anbietern entwickelt, die unterschiedlichste Konzepte verfolgen. Die Spezialisten der SYSTAG haben sich für unsere Kunden umgeschaut und sind bei den beiden Technologie- und Marktführern geblieben. Mit beiden haben wir Partnerschaften vereinbart.
Folgende Aufgaben sollten vor dem Einsatz dieser Produkte in einem Enterprise-App-Projekt geprüft werden:
- Analyse der Infrastruktur; Enterprise Apps müssen meist auf Intranet-Daten zugreifen und verändern diese, d.h. der Zugriff ist nicht nur lesend
- Analyse der Sicherheitsrisiken; Risiko und Kosten sind immer ein Trade-off
Es stellt sich die Frage, welche Bereiche zu schützen sind:
- Kommunikation und Übertragung zu Company Daten
- z.B. sicherer Zugang zu Intranet
- Programmlogik
- Z.B. in der Anwendung hinterlegte API-Schlüssel
- Beispiel: Dekompilierung einer Android App in 10 Minuten; wer das einmal gesehen hat, wie leicht man mit im Netz frei verfügbaren Bordmitteln eine Android-App knackt, ist geheilt, wie das unsere Experten gerne auf Wunsch in einer Websession vorführen
- Lokale Speicherung
- Zwischengespeicherte Passwörter
In-App Security
In-App Security sorgt beispielsweise dafür, dass der Code verschlüsselt wird und sich nicht mehr dekompilieren lässt. Eine der beiden Lösungen bietet sogar eine sich permanent ändernde Verschlüsselung an: d.h. das nächste Mini-Release, das in den App-Store gestellt wird, ist völlig anders verschlüsselt als die Vorgängerversion. Alle Arbeiten, die Hacker bis dahin getätigt haben, sind damit obsolet.
Es versteht sich, dass In-App Security nicht alle Probleme löst.
Daher ist das Konzept der SYSTAG mit dem Mantra „Security by Design“ ein ganzheitliches und generelles. Es sorgt dafür, dass nicht nur die App selbst gesichert wird, sondern auch die Daten, die sie auf dem Gerät vorhält und die als „data in transit“ über den Carrier oder WLAN versendet werden.
Es gibt davon eine Ausnahme: Das ist der Einsatz eines MDM-losen Containers, wie dies z.B. SyncDog bereitstellt. Allerdings findet durch diesen Nukleus auf dem Gerät doch eine Art „Management“ statt. So lassen sich z.B. damit provisionierte Geräte auf die Fabrikeinstellungen zurücksetzen. Es dürfte daher vertragsrechtlich außerordentlich schwierig werden, ihren Einsatz auch mit externen Usern generell zu empfehlen.
